Discourse is an open source discussion platform. Prior to versions 2025.12.2, 2026.1.1, and 2026.2.0, DM communication-preference bypass when adding members via `Chat::AddUsersToChannel` — a user could add targets who have blocked/ignored/muted them to an existing DM channel, bypassing per-recipient PM restrictions that are enforced during DM channel creation. Versions 2025.12.2, 2026.1.1, and 2026.2.0 patch the issue. No known workarounds are available.
Discourse versions prior to 2025.12.2, 2026.1.1, and 2026.2.0 contain a vulnerability allowing users to bypass DM communication preferences by adding blocked/ignored/muted contacts to existing channels. This circumvents per-recipient PM restrictions that are normally enforced during DM channel creation.
تحتوي ثغرة في Discourse على عيب في التحقق من تفضيلات الاتصال عند إضافة أعضاء إلى قنوات الرسائل المباشرة الموجودة. يمكن للمستخدمين إضافة جهات اتصال محظورة أو مكتومة أو مجاهلة إلى القنوات، مما يتجاوز القيود المفروضة عادة أثناء إنشاء القناة. تم إصلاح هذه المشكلة في الإصدارات المصححة.
إصدارات Discourse السابقة للإصدارات 2025.12.2 و 2026.1.1 و 2026.2.0 تحتوي على ثغرة تسمح للمستخدمين بتجاوز تفضيلات الاتصال في الرسائل المباشرة بإضافة جهات اتصال محظورة إلى القنوات الموجودة. يتجاوز هذا قيود الرسائل الخاصة لكل مستقبل التي يتم فرضها عادة أثناء إنشاء قناة الرسائل المباشرة.
Update Discourse to version 2025.12.2, 2026.1.1, or 2026.2.0 or later immediately. Review and audit existing DM channels for unauthorized additions of blocked/ignored/muted users. Implement access controls and monitor Chat::AddUsersToChannel operations for suspicious activity.
قم بتحديث Discourse إلى الإصدار 2025.12.2 أو 2026.1.1 أو 2026.2.0 أو أحدث على الفور. راجع وتدقيق قنوات الرسائل المباشرة الموجودة للتحقق من الإضافات غير المصرح بها للمستخدمين المحظورين. تطبيق عناصر التحكم في الوصول ومراقبة عمليات Chat::AddUsersToChannel للنشاط المريب.